Política de Certificación de Persona Jurídica

Transcripción

1 Política de Certificación de Persona Jurídica Unidad de Certificación Electrónica Infraestructura Nacional de Certificación Electrónica República Oriental del Uruguay

2 CP de Persona Jurídica 1 Índice 1.Introducción Descripción general Identificación de la Política de Certificación Participantes de la INCE Unidad Reguladora Autoridad Certificadora Autoridad de Registro Suscriptores Terceros Aceptantes Otros participantes Uso de los certificados Usos Permitidos de los Certificados Restricciones en el Uso de los Certificados Administración de la Política de Certificación Relación entre la Política de Certificación y otros documentos Procedimiento de Aprobación Definiciones y abreviaturas Aspectos Generales de la Política de Certificación Obligaciones Obligaciones de la Unidad Reguladora Obligaciones de la UCE Obligaciones del Certificador Obligaciones de la ACRN Obligaciones de los PSCA Obligaciones de las Autoridades de Registro de los Prestadores Acreditados Obligaciones de los Suscriptores de Certificados Obligaciones de los Terceros Aceptantes Obligaciones del servicio de repositorio de la INCE Responsabilidades Tarifas Interpretación y aplicación de las normas Legislación aplicable Forma de interpretación y aplicación Procedimientos de resolución de conflictos Publicación y Servicios de Estado de Certificados Publicación de información del certificador Frecuencia de publicación...25

3 CP de Persona Jurídica Controles de acceso a la información Repositorios de certificados y listas de revocación Auditoría Confidencialidad Publicación de Información sobre los PSCA Publicación de Información sobre los Suscriptores Finales Publicación de Información sobre Revocación de Certificados Divulgación de información a autoridades judiciales Divulgación de información por solicitud del suscriptor Otras circunstancias de divulgación de información Derechos de propiedad intelectual Identificación y Autenticación Registro inicial Nominación Formato del Nombre Distinguido Validación inicial de identidad Identidad Clave Privada Identificación y autenticación para solicitudes de cambio de clave Identificación y autenticación para solicitudes de desvinculación de referente Identificación y autenticación para solicitudes de vinculación de referente Identificación y autenticación para solicitudes de revocación Requerimientos Operativos del Ciclo de Vida de los Certificados Solicitud de certificado Legitimación para solicitar la emisión Registro de las solicitudes de certificados Procesamiento del requerimiento de certificado Emisión de certificado Aceptación de certificado Uso del Certificado y del Par de Claves Renovación del certificado Cambio de Clave del Certificado Modificación del certificado Desvinculación del referente del certificado Vinculación de un nuevo referente del certificado Revocación y suspensión del certificado Causas para la revocación Legitimación para solicitar la revocación...42

4 CP de Persona Jurídica Procedimiento de revocación Plazo máximo de procesamiento de la solicitud de revocación Comprobación del estado de revocación de un certificado Servicios de estado del certificado Fin de la suscripción Archivado y recuperación de clave Controles de Seguridad Física, de Procedimiento y de Personal Controles de seguridad física Controles procedimentales Controles de seguridad del personal Controles para registros de auditoría Procedimiento para el cambio de certificado de la ACPA Procedimientos para recuperación de desastres Procedimientos para terminación de las operaciones Controles de Seguridad Técnica Instalación del equipamiento informático de la ACPA Generación e instalación del par de claves Generación e instalación del par de claves de la ACPA Generación del par de claves para Persona Jurídica Protección de la clave privada Protección de la clave privada de la ACPA Protección de la clave privada de la Persona Jurídica Otros aspectos de la gestión del par de claves Datos de activación Controles de seguridad informática Controles de seguridad sobre el ciclo de vida de los sistemas Seguridad de la red Sincronización horaria Perfiles de Certificado y CRL Perfil de certificado de Persona Jurídica Perfil de la CRL de las ACPA de PSCA Administración Documental Procedimiento para cambio de especificaciones Procedimientos de Publicación y Notificación...60 Referencias Externas...61

5 CP de Persona Jurídica 1.Introducción 1.1. Descripción general Según el inciso 2º, del artículo 21 del Código Civil: "Se consideran personas jurídicas y por consiguiente capaces de derechos y obligaciones civiles, el Estado, el Fisco, el Municipio, la Iglesia y las corporaciones, establecimientos y asociaciones reconocidas por la autoridad pública.". Un Certificado Electrónico Reconocido de Persona Jurídica (CERPJ), en el contexto de la Infraestructura Nacional de Certificación Electrónica (INCE PKI Uruguay), es un certificado electrónico emitido por un Prestador de Servicios de Certificación Acreditado (PSCA) a una Persona Jurídica previamente identificada. Este certificado le permite al sistema portador realizar firmas electrónicas avanzadas y a un tercero verificar que el emisor de un documento electrónico emanado de un sistema es la persona jurídica titular del mismo. A nivel conceptual, la Firma Electrónica Avanzada consiste en un par de claves criptográficas, una pública y otra privada, aplicadas mediante una función matemática a documentos electrónicos. La clave privada siempre se encuentra en posesión del firmante y es la utilizada para realizar firmas. La pública se divulga y es la utilizada para verificar una firma de otro sujeto. El Certificado de Persona Jurídica establece una asociación directa entre la identidad de la Persona Jurídica y su clave pública, con el respaldo brindado por la INCE. Esta asociación clave pública-persona jurídica es un componente imprescindible para la realización de una Firma Electrónica Avanzada en Uruguay, ya que es la que permite a alguien, que verifica una firma, identificar al firmante. La raíz de confianza de la INCE - PKI Uruguay es la Autoridad Certificadora Raíz Nacional (ACRN), operada por la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC). Un PSCA es una persona física o jurídica, pública o privada, poseedora de una o varias Autoridades Certificadoras de Prestador Acreditado (ACPA), cada una de ellas con un

6 CP de Persona Jurídica 5 Certificado Electrónico Reconocido (CER) emitido por la ACRN, constituyendo el segundo eslabón de la cadena de confianza y emitiendo Certificados Electrónicos Reconocidos a usuarios finales. Los suscriptores finales interactúan con los PSCA a través de sus Autoridades de Registro (RA) para la solicitud de emisión, renovación y revocación de certificados electrónicos reconocidos. Una Política de Certificación es un conjunto de principios y normas que describen el perfil de un Certificado; sus usos permitidos, los derechos y obligaciones de todos los actores involucrados en su utilización, los procesos mediante los cuales se verifica la identidad del titular del Certificado, se generan las claves, se emite y se revoca el Certificado y las garantías tecnológicas de seguridad que el PSCA aplica en cada caso. En el contexto de la INCE, las Políticas de Certificación son desarrolladas y aprobadas por la UCE. La presente Política de Certificación de Persona Jurídica rige la actividad de los PSCA que emiten certificados a personas jurídicas. De esta manera se asegura, independientemente del PSCA que haya emitido el certificado particular, la uniformidad de garantías, políticas de uso y aspectos técnicos de los certificados de Persona Jurídica, incluyendo la interoperabilidad natural entre sistemas que hagan uso de los mismos, ya que se trata de un estándar común para todos los PSCA.

7 CP de Persona Jurídica La actividad de los PSCA se encuentra regulada por la Unidad de Certificación Electrónica (UCE) y sujeta a sus procedimientos de control. A su vez, cada PSCA presenta a la UCE un documento denominado Declaración de Prácticas de Certificación en el cual declara los procedimientos administrativos y técnicos mediante los cuales satisface lo exigido por la Política de Certificación. La UCE valida este documento previamente a que el Prestador comience la operación de una ACPA. La confección del presente documento se realizó siguiendo el marco normativo vigente y la propuesta de estándar para la documentación de Políticas y Declaración de Prácticas de Certificación del grupo de trabajo IETF PKIX. Dicha propuesta se denomina RFC 3647 en su última versión [1]. 1.1.Identificación de la Política de Certificación Nombre: Política de Certificación de Persona Jurídica Versión: 1.0 Fecha de elaboración: 31/10/2012 Fecha de última actualización: 31/10/2012 OID: Sitio web de publicación:

8 CP de Persona Jurídica Participantes de la INCE Unidad Reguladora El rol de Unidad Reguladora es desempeñado por la UCE, según lo dispuesto por la Ley N , de 21 de Setiembre de 2009 [2], es un rol de regulación, en el cual debe definir los estándares técnicos y operativos que deberán cumplir los PSCA, así como los procedimientos y requisitos de acreditación necesarios para su cumplimiento. Además de su rol regulador, la UCE desempeña funciones de acreditación de Prestadores de Servicios de Certificación; control y auditoría de su actividad; instrucción estableciendo criterios generales y asesoramiento en buenas prácticas de funcionamiento; y sanción en caso de incumplimiento. Puede encontrarse información detallada en la Política de Certificación de la ACRN [3] y en el artículo 14 de la Ley N , de 21 de Setiembre del 2009 [2] Autoridad Certificadora Los Prestadores de Servicios de Certificación Acreditados son organismos públicos o privados que pertenecen a la INCE y emiten certificados electrónicos a usuarios finales. Para la emisión de certificados, los PSCA podrán operar al menos una Autoridad Certificadora. A esta Autoridad se la denomina Autoridad Certificadora del Prestador Acreditado (ACPA) y consiste en el conjunto de sistemas, personas, políticas y procedimientos relativos a la gestión de certificados electrónicos. Cuando el PSCA registra a una ACPA, la ACRN le emite un certificado según lo estipulado en la Política de Certificación de la ACRN [3]. Con este certificado queda demostrada la pertenencia de la ACPA a la INCE y que cuenta con las correspondientes garantías de confianza. La ACPA se encuentra entonces subordinada a la ACRN y, al emitir certificados a los usuarios finales, actúa como eslabón intermedio en la cadena de confianza.

9 CP de Persona Jurídica Debido al esquema en el cual se estructura la INCE, los PSCA que operan ACPA son las únicas Autoridad Certificadoras intermedias en la cadena de confianza. Esto significa que un PSCA no puede usar su ACPA para emitirle certificados a otra ACPA para que actúe como su subordinada. De acuerdo con lo estipulado en la Política de Certificación de la ACRN [3], En ningún caso esta podrá emitir certificados a usuarios finales. Un PSCA puede usar una misma ACPA para emitir certificados en base a distintas Políticas de Certificación siempre que cumpla con los requerimientos de cada una de ellas. El PSCA debe elaborar para cada una de sus ACPA un documento denominado Declaración de Prácticas de Certificación, en el cual detalla los procedimientos técnicos y administrativos que implementa para cumplir con lo requerido por cada Política de Certificación a la cual adhiere. Este documento debe ser aprobado por la UCE previo a su puesta en práctica Autoridad de Registro La Autoridad de Registro es la dependencia dentro del PSCA que atiende y procesa las solicitudes de emisión, renovación o revocación de certificados de parte del Suscriptor (punto 1.2.4). En este sentido, es el único punto de contacto requerido entre el PSCA y sus Suscriptores. Como consecuencia de esto, la Autoridad de Registro es la responsable de la identificación de la persona física y quien da comienzo al procedimiento técnico de emisión, renovación o revocación de certificado. La Autoridad de Registro hace entrega del certificado emitido al Suscriptor y le informa las buenas prácticas de uso. Debe además, previo a la entrega del certificado, asegurarse que se firme el acuerdo con las Condiciones para la Utilización de Firma Electrónica Avanzada [4].

10 CP de Persona Jurídica 9 Las responsabilidades y acciones realizadas por la Autoridad de Registro se encuentran descriptas en la sección de la presente Política de Certificación. A su vez, cada PSCA debe detallar en su Declaración de Prácticas de Certificación las particularidades de funcionamiento de sus ACPA, las cuales deben estar alineadas con los requerimientos de la presente Política de Certificación Suscriptores En el contexto de la presente Política de Certificación, los Suscriptores son personas jurídicas a quienes un PSCA a través de su ACPA les ha emitido certificados electrónicos de Persona Jurídica. Si bien la responsabilidad por el uso del certificado es de la persona jurídica como suscriptor, en cualquier caso el certificado es entregado a una persona física como referente del mismo, debidamente apoderada en el momento del registro. Los Suscriptores pueden utilizar certificados de Persona Jurídica con fines de autenticación, Firma Electrónica Avanzada y cifrado. Los Suscriptores contraen derechos y obligaciones al utilizar certificados de Persona Jurídica según se describe en la presente Política de Certificación y normativa vigente Terceros Aceptantes En el contexto de la presente Política de Certificación, los Terceros Aceptantes son cualquier persona física u organización que confía en los certificados de la INCE para la autenticación o Firma Electrónica Avanzada de una persona jurídica (Suscriptor de un certificado de Persona Jurídica). Los Terceros Aceptantes, al autenticar a una persona jurídica o al aceptar una Firma Electrónica Avanzada, están obligados a comprobar la validez del certificado. Para ello, deberán seguir los lineamientos estipulados en esta Política.

11 CP de Persona Jurídica Otros participantes No es aplicable. 1.3.Uso de los certificados Usos Permitidos de los Certificados Los usos habilitados para los certificados emitidos bajo la presente Política de Certificación de Persona Jurídica son los siguientes: a) Identificación y autenticación electrónica del Suscriptor del certificado (Persona Jurídica); b) Firma Electrónica Avanzada (según Ley N , de 21 de Setiembre de 2009 [2]); y c) Cifrado de Datos Restricciones en el Uso de los Certificados Los certificados emitidos por un PSCA bajo la presente Política de Certificación deben utilizarse de acuerdo con lo establecido en el punto 1.3.1, y a la normativa vigente. 1.4.Administración de la Política de Certificación La administración de la presente Política de Certificación de Persona Jurídica es responsabilidad de la UCE. Por consultas o sugerencias, la UCE designa al siguiente contacto:

12 CP de Persona Jurídica 11 Nombre: Unidad de Certificación Electrónica Dirección de correo: Teléfono: (+598) Relación entre la Política de Certificación y otros documentos La presente Política de Certificación se basa en la Ley N , de 21 de setiembre de 2009 [2] y en el correspondiente Decreto reglamentario N 436/2011, de 8 de diciembre de 2011 [5], y prevalece sobre ella la legislación vigente y las disposiciones particulares adoptadas por la UCE. Los requerimientos definidos en esta Política de Certificación deben ser instrumentados por los PSCA y especificados en su Declaración de Prácticas de Certificación. Esta Política de Certificación tiene impacto en las Políticas de Seguridad de la Información y procedimientos administrativos asociados de las ACPA. 1.6.Procedimiento de Aprobación La aprobación de esta Política, así como toda modificación introducida en ella, es responsabilidad exclusiva de la UCE. La UCE aplicará sus procedimientos internos de administración documental para garantizar la calidad y trazabilidad de los cambios realizados. La Política modificada se publicará como una nueva versión, manteniéndose un registro de la fecha y cambios realizados. Ver más información en la sección Definiciones y abreviaturas Las definiciones y abreviaturas generales de la INCE se encuentran definidas en la Ley N , de 21 de Setiembre de 2009 [2]. No obstante, las siguientes definiciones y

13 CP de Persona Jurídica abreviaturas son utilizadas a lo largo del presente documento, y por lo tanto, son citadas también aquí. Persona Jurídica (PJ): Según el inciso 2º del artículo 21 del Código Civil "Se consideran personas jurídicas y por consiguiente capaces de derechos y obligaciones civiles, el Estado, el Fisco, el Municipio, la Iglesia y las corporaciones, establecimientos y asociaciones reconocidas por la autoridad pública". Autoridad Certificadora Raíz Nacional (ACRN): conjunto de sistemas informáticos, personal, políticas y procedimientos que, en la estructura de la INCE por herencia, constituyen la raíz de confianza. Permite certificar a otras entidades encargadas de emitir certificados dentro de la INCE. Prestador de Servicios de Certificación Acreditado (PSCA): persona física o jurídica acreditada ante la UCE y responsable de la operación de al menos una Autoridad Certificadora de la INCE. Autoridad de Registro: en el contexto de la presente política, dependencia del PSCA responsable del registro y procesamiento de solicitudes de emisión, renovación y revocación de certificados, incluyendo la validación de la identidad de los suscriptores y/o de las solicitudes al inicio del proceso. Autoridad Certificadora del Prestador Acreditado (ACPA): conjunto de sistemas, personal, políticas y procedimientos que el PSCA utiliza para emitir certificados a usuarios finales bajo las políticas de certificación que le fueron asignadas. Política de Certificación (CP Certificate Policy): conjunto de políticas que indican la aplicabilidad de un certificado a una comunidad particular y/o clase de solicitud con requerimientos comunes de seguridad, y además definen los requisitos que cualquier prestador debe respetar para trabajar con ese tipo de certificado. En el contexto de la INCE estas políticas son promovidas, aprobadas y mantenidas por la UCE. Certificado Electrónico (CE): documento electrónico firmado electrónicamente que da fe del vínculo entre el sujeto firmante o titular del certificado y los datos de creación de la firma electrónica.

14 CP de Persona Jurídica 13 Certificado Electrónico Reconocido (CER): Certificado Electrónico emitido por la ACRN o por un PSCA a través de una de sus ACPA. Certificado Electrónico Reconocido de Persona Jurídica (CERPJ): Certificado Electrónico Reconocido cuyo suscriptor es una Persona Jurídica, emitidos en exclusividad por los PSCA y sujetos a los requerimientos de la presente Política de Certificación. Declaración de Prácticas de Certificación (CPS Certificate Practice Statement): declaración de las prácticas que emplea una Autoridad Certificadora en la gestión de los certificados emitidos por ella (emisión, revocación, renovación, etc.). Solicitud de Firma de Certificado (CSR Certificate Signing Request): en el contexto de la presente política, es un mensaje emitido por la organización a certificarse bajo el estándar PKCS#10 mediante el que solicita y provee información a una ACPA para la emisión de un certificado firmado por ella. Escrow: acuerdo mediante el cual una clave privada puede ser custodiada por una entidad y, bajo ciertas circunstancias, ser devuelta a su legítimo dueño, o a un tercero especificado. Dispositivo o Módulo Seguro de Creación de Firmas (DSCF): Dispositivo que resguarda las claves y el certificado de un suscriptor, utilizado para generar su firma electrónica y que, al menos, garantiza: a) Que los datos utilizados para la generación de la firma solo pueden producirse una vez en la práctica y se garantiza razonablemente su confidencialidad; b) Que existe una expectativa razonable de que los datos utilizados para la generación de la firma no pueden ser descubiertos por deducción y la firma está protegida contra falsificación por medio de la tecnología disponible a la fecha, siendo posible detectar cualquier alteración posterior; y, c) Que los datos empleados en la generación de la firma pueden ser protegidos de modo fiable por el firmante legítimo, contra su utilización por terceros.

15 CP de Persona Jurídica FIPS (Federal Information Processing Standard) 140 nivel 3: estándar de seguridad de ordenadores del gobierno de los Estados Unidos para la acreditación de módulos criptográficos. En su nivel 3 asegura que los módulos sean resistentes a la intrusión física. Módulo de Hardware de Seguridad (HSM Hardware Security Module): dispositivo criptográfico basado en hardware que genera, almacena y protege claves criptográficas. Protocolo de Estado de Certificados Online (OCSP - Online Certificate Status Protocol): protocolo para la validación online del estado de revocación de certificados, de implementación opcional para los PSCA. RSA (Rivest, Shamir y Adleman): Sistema criptográfico asimétrico, o de clave pública, utilizado para cifrado o para firmas electrónicas. SHA (Secure Hash Algorithm - Algoritmo de Hash Seguro): Familia de funciones de hash (resumen) utilizadas como parte de la creación de firmas electrónicas. Dentro de esta familia se encuentran SHA-1, SHA-256 y SHA-512, entre otras.

16 CP de Persona Jurídica 15 2.Aspectos Generales de la Política de Certificación 2.1.Obligaciones Obligaciones de la Unidad Reguladora Obligaciones de la UCE Las obligaciones de la UCE se encuentran especificadas en la Política de Certificación de la ACRN [3]. Además de dichas obligaciones generales, constituyen obligaciones específicas de la UCE en el contexto de la presente Política: a) La actualización, aprobación y cancelación de la presente Política de Certificación de la INCE PKI Uruguay; b) La acreditación de Prestadores de Servicios de Certificación para operar dentro de la INCE emitiendo certificados de Persona Jurídica; c) La publicación de la lista de PSCA habilitados a emitir certificados de Persona Jurídica dentro del contexto de la INCE; d) Mantener a disposición permanente del público la presente Política de Certificación, tanto la versión vigente como las anteriores; e) Atender los pedidos de revocación de certificados de Persona Jurídica solicitados por una autoridad competente, de acuerdo con la legislación vigente y los procedimientos definidos en la presente Política de Certificación;

17 CP de Persona Jurídica Obligaciones del Certificador Obligaciones de la ACRN Las obligaciones de la ACRN en el contexto de la presente Política son las mismas que se expresan en la Política de Certificación de la ACRN Obligaciones de los PSCA En el contexto de la presente política, éstos son los PSC Acreditados por la UCE para la emisión de certificados de Persona Jurídica. Constituyen obligaciones de dichos Prestadores: a) Desarrollar, mantener y publicar su propia Declaración de Prácticas de Certificación, de conformidad con lo pautado en la presente Política; b) Generar la clave privada de sus ACPA con aprobación de la UCE, en presencia de personal de dicha Unidad y de la ACRN, y de acuerdo con los requerimientos del punto 6.2 de la presente Política; c) Proteger las claves privadas de sus ACPA; d) Solicitar la emisión del certificado de sus ACPA, de acuerdo con los procedimientos estipulados para tal fin en la Política de Certificación de la ACRN [3]; e) Solicitar a la ACRN la revocación del certificado de sus ACPA ante sospecha real de compromiso de la clave privada asociada; f) Atender los requerimientos de revocación solicitados por la UCE o por los suscriptores, de acuerdo con la legislación vigente y con los procedimientos definidos en la presente Política;

18 CP de Persona Jurídica 17 g) Utilizar el certificado de sus ACPA de acuerdo con los requerimientos de la presente Política de Certificación; h) La emisión, renovación y revocación de los certificados de Persona Jurídica de sus suscriptores; i) La emisión y publicación de su Lista de Certificados Revocados (CRL); j) Informar a sus suscriptores de la revocación de sus certificados, junto con la causal para dicha operación; k) El envío a la UCE de las CRL inmediatamente después de emitidas; l) Notificar a los suscriptores de los certificados emitidos por sus ACPA bajo la presente política, acerca de cualquier acontecimiento que pudiera ocasionar el compromiso de la clave privada de la ACPA y la emisión de un nuevo par de claves criptográficas, como también del procedimiento a seguir en ese caso; m) Garantizar el acceso permanente y gratuito de los suscriptores y Terceros aceptantes al sitio de publicación que contiene su propio certificado, y la lista de certificados revocados; n) Mantener y garantizar la seguridad de la información tratada (disponibilidad, integridad, no repudio o confidencialidad según corresponda) Obligaciones de las Autoridades de Registro de los Prestadores Acreditados Las obligaciones de las Autoridades de Registro de las ACPA, son asumidas por el PSCA, o por las instituciones que hayan sido mandatadas a estas instancias, y en el contexto de la presente Política son las siguientes:

19 CP de Persona Jurídica a) Recibir y procesar las solicitudes de emisión, renovación o revocación de certificados emitidos por la ACPA, de acuerdo con los requerimientos estipulados de la sección 4; b) Comprobar, de acuerdo con lo estipulado en el punto 3.1.2: i. la identidad de la persona jurídica para la cual será emitido el certificado, a través de certificado notarial, ii. la identidad de la persona física que solicita la emisión, renovación o revocación presencial del certificado, mediante la validación del documento de identidad presentado, iii. que la persona cuente con las facultades necesarias para solicitar, renovar o revocar el certificado de la persona jurídica correspondiente c) Notificar a los suscriptores de certificados de Persona Jurídica emitidos por alguna de sus ACPA ante la ocurrencia de un evento que así lo requiera según lo estipulado por la presente Política de Certificación; Obligaciones de los Suscriptores de Certificados En el contexto de la presente Política de Certificación, los suscriptores son Personas Jurídicas constituidas en la República Oriental del Uruguay, bajo cuya responsabilidad recaerán las obligaciones citadas en este punto. Los certificados son emitidos a instancias de la solicitud de una persona física facultada para tal acto, que se convierte en el referente del mismo y del par de claves asociado. El referente puede solicitar unilateralmente su desvinculación del certificado, ante lo cual la Persona Jurídica deberá presentar un nuevo referente en un plazo máximo de 15 días hábiles, o de lo contrario el PSCA deberá proceder a la revocación del certificado. De la misma forma, la Persona Jurídica puede solicitar la asignación de un nuevo referente para un certificado propio, ante lo cual el antiguo referente queda automáticamente desvinculado del certificado en cuestión y no debería tener más acceso al mismo.

20 CP de Persona Jurídica 19 Toda la información necesaria para la identificación y autenticación de la Persona Jurídica a certificar, así como también de la Persona Física que lleva adelante el trámite de solicitud de certificado, debe ser provista de forma completa y precisa al iniciar el proceso de registro. Dicha información y procedimiento de registro se especifica en las secciones 3.1 y 4.1. Al aceptar un certificado emitido por un ACPA de PSCA, la Persona Jurídica es responsable de toda la información por él provista y contenida en ese certificado, del buen uso del mismo, respetando la presente Política de Certificación y normativa vigente, y de la protección de la clave privada asociada. La persona jurídica debe hacer uso del certificado en conformidad con la presente Política de Certificación para certificados de Persona Jurídica, con las demás Políticas de Certificación aplicables de la INCE y demás normativa vigente Los Suscriptores de certificados de Persona Jurídica asumen las siguientes obligaciones: a) Proveer toda la información que le sea requerida de modo completo y preciso a la Autoridad de Registro a fines de obtener el certificado emitido por el PSCA a través de su ACPA bajo la presente política de certificación; b) Generar su clave privada en alguna de las condiciones establecidas en el punto 6.2.2; c) Proteger su clave privada; d) Solicitar la inmediata revocación del certificado emitido por el PSCA a través de su ACPA en el caso de compromiso o sospecha de compromiso de la clave privada asociada; e) Utilizar el certificado de acuerdo con los requerimientos de la presente política de certificación;

21 CP de Persona Jurídica f) Cumplir con las obligaciones establecidas en la presente política de certificación, otras Políticas de Certificación aplicables de la INCE y otras reglamentaciones aplicables emitidas por la UCE; g) Firmar las Condiciones para la Utilización de Firma Electrónica Avanzada [4] previo a la entrega del certificado por parte del PSCA Obligaciones de los Terceros Aceptantes Los Terceros aceptantes tienen las siguientes obligaciones: a) Tomar conocimiento y aceptar los términos definidos en el presente documento, incluyendo y sin limitarse a: i. garantías y usos aceptables del certificado de las ACPA de los PSCA; ii. garantías y usos aceptables de los certificados emitidos por los PSCA a Personas Jurídicas; iii. obligaciones de los Terceros aceptantes. b) Verificar la validez del certificado de la ACRN. El certificado de la ACRN es considerado válido cuando: i. se encuentra dentro de su período de vigencia, ii. su Firma Electrónica Avanzada puede ser verificada con el uso del mismo certificado de la ACRN, y iii. no ha sido revocado según la CRL publicada por la ACRN. c) Verificar la validez de los certificados emitidos por la ACRN para las ACPA. El certificado es considerado válido cuando;

22 CP de Persona Jurídica 21 i. se encuentra dentro de su período de vigencia, ii. su firma electrónica puede ser verificada con la clave pública del certificado de la ACRN, y iii. no ha sido revocado según la CRL publicada por la ACRN. d) Verificar la validez del certificado de Persona Jurídica que le está siendo presentado. El certificado es considerado válido cuando: i. se encuentra dentro de su período de vigencia, ii. su firma electrónica puede ser verificada con la clave pública del certificado de la ACPA emisora, y iii. no ha sido revocado según la CRL publicada por dicha ACPA. e) Verificar que el certificado de Persona Jurídica emitido por el PSCA sea utilizado para los propósitos previstos en esta política de certificación. Las verificaciones requeridas en los puntos anteriores deben ser realizadas cada vez que el tercero confíe en un certificado de Persona Jurídica emitido por un PSCA a través de su ACPA a un suscriptor final Obligaciones del servicio de repositorio de la INCE El repositorio web público de la INCE no es un sitio único, sino que es la conjunción de los repositorios web públicos de todos los actores que la componen y publican información requerida por sus Políticas de Certificación, a saber: la UCE, la ACRN, los PSCA y otros actores determinados por resolución de la UCE.

23 CP de Persona Jurídica La información que debe contener el repositorio web público de información de la UCE se encuentra especificada en la Política de Certificación de la ACRN [3]. Además, en el contexto de la presente Política publicará la siguiente información adicional: a) Esta Política de Certificación (versión vigente y anteriores); b) La lista de OIDs de la Declaración de Prácticas de Certificación de los PSCA que emiten certificados de Persona Jurídica; c) Información relevante de los informes de auditoría de la que fueron objeto los PSCA que emiten certificados de Persona Jurídica; d) Identificación, domicilios, números telefónicos y direcciones de correo electrónico de los contactos designados por los PSCA que emiten certificados de Persona Jurídica, para la atención a suscriptores finales y Terceros aceptantes; La información que debe contener el repositorio web público de información de la ACRN se encuentra especificada en la Política de Certificación de la ACRN [3]. Además, en el contexto de la presente Política deberá publicar la siguiente información adicional: a) Esta Política de Certificación (versión vigente y anteriores); b) Los certificados emitidos para ACPA que emitan certificados de Persona Jurídica. Para esta Política de Certificación es obligatorio para todo PSCA que opere al menos una ACPA autorizada a emitir certificados de Persona Jurídica, el mantenimiento de un repositorio público de información, a través de un sitio web, que contenga la siguiente información: a) Todas las políticas de certificación (versiones vigentes y anteriores) que utilicen las ACPA del PSCA para la emisión de certificados, incluyendo ésta; b) La Declaración de Prácticas de Certificación de cada una de las ACPA del PSCA (versión vigente y anteriores);

24 CP de Persona Jurídica 23 c) El Acuerdo con la ACRN que lo oficializa como suscriptor de Certificados de la ACRN; d) El certificado emitido por la ACRN para cada una de sus ACPA; e) La Lista de Certificados Revocados (CRL) de la ACPA; f) Identificación, domicilios, números telefónicos y direcciones de correo electrónico de los contactos designados por el PSCA, para la atención a suscriptores finales y Terceros aceptantes; g) Referencia al sitio de publicación de información de la UCE; 2.2.Responsabilidades En relación con la responsabilidad que pudiere imputarse a la ACRN o a la UCE, será de aplicación lo establecido en los artículos 24 y 25 de la Constitución de la República. Igual situación se verificará en caso de tratarse de una entidad pública que se acredite como PSCA. En relación con la responsabilidad de los PSCA entidad privada -, ésta será regulada de acuerdo con lo establecido en los artículos 1342 y 1344 del Código Civil, normas modificativas y complementarias. 2.3.Tarifas Los PSCA que emitan certificados bajo la presente Política de Certificación podrán percibir una prestación económica por sus servicios.

25 CP de Persona Jurídica 2.4.Interpretación y aplicación de las normas Legislación aplicable La presente política deberá ser interpretada de acuerdo con lo establecido en la Ley Nº , de 21 de Setiembre de 2009 [2], su normativa reglamentaria y las regulaciones aprobadas por la UCE. En igual sentido su validez, estructura y obligatoriedad derivan de la normativa legal, reglamentaria y regulatoria vigente Forma de interpretación y aplicación En caso de conflictos en la interpretación de la presente política, la entidad competente a estos efectos es la Unidad de Certificación Electrónica, a la que podrá solicitársele el correspondiente dictamen. Las disposiciones que surgen de la presente Política de Certificación son de cumplimiento obligatorio Procedimientos de resolución de conflictos Los suscriptores de certificados emitidos por los PSCA y los terceros aceptantes de dichos certificados podrán interponer una denuncia o una petición - según lo entiendan pertinente - ante la UCE en razón de conflictos relacionados con la prestación del servicio. En todos los casos se encuentra habilitada la vía jurisdiccional correspondiente.

26 CP de Persona Jurídica Publicación y Servicios de Estado de Certificados Publicación de información del certificador En su rol de Unidad Reguladora, la UCE dispone del siguiente sitio web como repositorio público de información: Los PSCA, en su rol de Autoridades Certificadoras, deberán disponer de un sitio de publicación de información, cuya URL se deberá especificar en su Declaración de Prácticas de Certificación. La información mínima que la UCE y los PSCA deben publicar en los sitios web se encuentra detallada en la sección Frecuencia de publicación La UCE publicará información sobre políticas de certificación, acuerdos de privacidad y otros documentos relacionados con un máximo de cinco (5) días hábiles desde que se aprueben cambios. La información relativa a datos de contacto será actualizada con un máximo de cinco (5) días hábiles desde que se constaten cambios. Los PSCA deberán manejar los mismos plazos para ambos tipos de información, y deberán verificar y aprobar la misma en forma previa a la publicación. El PSCA deberá actualizar la Lista de Certificados Revocados (CRL) de sus ACPA cuando ocurra al menos uno de los siguientes hechos: a) se produzca la revocación de un certificado, con un margen de tiempo de 2 horas luego de la revocación;

27 CP de Persona Jurídica b) transcurran como máximo 24 horas luego de la última emisión de CRL. El PSCA deberá especificar en su Declaración de Prácticas de Certificación los plazos reales que maneja y los mecanismos tecnológicos que implementa para cumplirlos, respetando siempre las cotas de tiempo presentadas en este punto Controles de acceso a la información La UCE brinda acceso irrestricto a toda la información contenida en el repositorio público (ver 2.1.6), y establece controles adecuados para restringir la posibilidad de escritura y modificación de la información publicada, garantizando su integridad. Los PSCA deberán brindar acceso irrestricto a toda la información que se publique en el repositorio público (ver punto 2.1.6) y establecer los controles necesarios para restringir la escritura o modificación de la información publicada Repositorios de certificados y listas de revocación Los repositorios públicos de información de la UCE están disponibles durante las 24 horas los 7 días de la semana y en caso de error del sistema fuera del control de la UCE, ésta dedicará sus mejores esfuerzos para que el servicio se encuentre nuevamente disponible en un periodo establecido en 48 horas. Los PSCA que emitan certificados bajo la presente Política deberán garantizar iguales niveles de servicio para su servicio de publicación de información. 2.6.Auditoría Los requerimientos de auditoría de la UCE se encuentran estipulados en la Política de Certificación de la ACRN [3].

28 CP de Persona Jurídica 27 Los PSCA deberán someterse a auditorías periódicas de acuerdo con los lineamientos de la UCE. La información relevante de los informes de las auditorías deberá ser enviada a la UCE para su publicación en el sitio web de la Unidad, y deberá ser publicada en el sitio de publicación del PSCA. 2.7.Confidencialidad A los efectos de la determinación del carácter de confidencialidad de la información se regulará de acuerdo con el marco normativo vigente. La información personal queda regulada por las Leyes Nos , de 8 de agosto de 2008, , de 17 de octubre de 2008, y sus correspondientes decretos reglamentarios Publicación de Información sobre los PSCA La información que la UCE publica sobre los PSCA se encuentra estipulada en la Política de Certificación de la ACRN [3] Publicación de Información sobre los Suscriptores Finales Los PSCA no deberán publicar información alguna acerca de sus suscriptores de certificados, salvo la información contenida en los certificados mismos Publicación de Información sobre Revocación de Certificados La información sobre la revocación de los certificados de persona jurídica, no se considera confidencial y será publicada por los PSCA mediante las CRL de sus ACPA. La dirección concreta de publicación deberá ser especificada en su Declaración de

29 CP de Persona Jurídica Prácticas de Certificación. Las razones que dan lugar a la revocación se consideran públicas, y estarán incluidas en la CRL misma de acuerdo con la codificación estándar. Dichas CRL serán enviadas a la UCE para su conocimiento y publicación de acuerdo con lo establecido en el punto Divulgación de información a autoridades judiciales La condición de información secreta por ley, reservada o confidencial cesa ante la solicitud de juez competente en el marco de un proceso judicial Divulgación de información por solicitud del suscriptor Excepto en los casos previstos en los apartados anteriores, toda divulgación de información referida a los datos de identificación del suscriptor o de cualquier otra información generada o recibida durante el ciclo de vida del certificado solo se hará efectiva previa autorización del titular Otras circunstancias de divulgación de información Excepto por los casos mencionados en los apartados anteriores, no existen otras circunstancias bajo las cuales la UCE divulgue o que el PSCA esté autorizado a divulgar información. 2.8.Derechos de propiedad intelectual La UCE mantiene en forma exclusiva todos los derechos de propiedad intelectual con respecto a la documentación y a publicaciones pertenecientes a ella. El documento podrá reproducirse o distribuirse atribuyendo su autoría a la UCE en forma precisa, completa y sin modificaciones.

30 CP de Persona Jurídica 29 3.Identificación y Autenticación 3.1.Registro inicial Podrán solicitar certificados de Persona Jurídica en el marco de la INCE, Personas Jurídicas legalmente constituidas o reconocidas en la República Oriental del Uruguay. Para solicitar la emisión de un certificado de Persona Jurídica, deberá presentarse ante la Autoridad de Registro del PSCA una persona física con la documentación que acredite su identidad, la documentación que acredite la identidad de la persona jurídica y la documentación que acredite que está autorizado por ésta a realizar la operación. La Autoridad de Registro del PSCA validará la autenticidad de la documentación presentada, así como también la identidad de la persona que solicita el registro y de la persona jurídica para la cual lo solicita, de acuerdo con los requerimientos de validación para cada uno de los documentos presentados Nominación Una vez validada la constitución de la persona jurídica, la identidad del representante y su legitimación para realizar la solicitud, los datos que se colocarán en el certificado serán los datos de la persona jurídica, de la forma que figura en el certificado notarial que la identifica Formato del Nombre Distinguido Para el nombre de la Persona Jurídica se deberá utilizar el campo Subject del certificado emitido a través de la ACPA (ver sección 7.1). El formato para indicar el nombre deberá ser X.500 (Distinguished Name). Dicho formato, se aplicará de la siguiente forma:

31 CP de Persona Jurídica Country (C): UY (Uruguay según la nomenclatura ISO ) Common Name (CN): Nombre de fantasía de la persona jurídica, tal y como está escrito en el certificado notarial presentado y usando sólo letras mayúsculas. Organization (O): Nombre de la persona jurídica, tal y como está escrito en el certificado notarial presentado y usando sólo letras mayúsculas. serialnumber: tipo de registro, según se identifique la organización en el certificado notarial, más el número. Los tipos de registros aceptados son Registro Único Comercial en la Dirección General Impositiva, identificado mediante la sigla RUC (Registro Único Tributario), registro en el Banco de Previsión Social, identificado mediante la sigla BPS, y registro en la Dirección General de Registro del Ministerio de Educación y Cultura, identificado mediante la sigla DGR. Por mayor detalle acerca de la nominación y formatos de los nombres, referir a la sección 7. A modo de ejemplo, para la empresa EMPRESA S.A., con nombre de fantasía La Empresa e inscripta en DGI con RUC , su nombre distinguido para el certificado de persona jurídica se conformaría de la siguiente manera: C=UY CN=LA EMPRESA O=EMPRESA S.A. serialnumber=ruc

32 CP de Persona Jurídica Validación inicial de identidad La Autoridad de Registro del PSCA debe validar la identidad del solicitante previo a la emisión del certificado, como se estipula a continuación Identidad La persona física que solicita efectivamente el certificado deberá demostrar en primera instancia su propia identidad ante la Autoridad de Registro del PSCA, presentando el documento de identificación correspondiente, cédula de identidad uruguaya o pasaporte, vigentes y en buen estado. Luego de eso, el individuo deberá demostrar la existencia de la persona jurídica a la cual representa en este acto, presentando certificado notarial de la misma, con no más de 30 días desde su emisión. Finalmente, el individuo deberá acreditar su representación para solicitar el certificado en nombre de la persona jurídica Clave Privada Las claves privadas asociadas a certificados de Persona Jurídica emitidos bajo la presente Política deberán ser siempre generadas y utilizadas en un Dispositivo o Módulo Seguro de Creación de Firmas (DSCF) de hardware o de software. Para la emisión del certificado bajo la presente Política de Certificación, el PSCA debe verificar que la llave privada correspondiente a la llave pública del CSR (Certificate Signing Request) esté en posesión de la persona física que está solicitando el certificado y sea la misma utilizada para firmarlo. La persona física que solicita el certificado se convierte en el referente del mismo, y del par de claves asociado. El PSCA deberá registrar internamente esta asociación entre la persona jurídica suscriptora y la persona física referente del certificado.

33 CP de Persona Jurídica Identificación y autenticación para solicitudes de cambio de clave El procedimiento de cambio de clave es el de Emisión de Certificado, por lo que se aplica lo mismo que para el punto Identificación y autenticación para solicitudes de desvinculación de referente La persona física que actúa como referente del certificado de persona jurídica, puede en cualquier momento solicitar su desvinculación del mismo en forma unilateral. Para esto, deberá concurrir en forma presencial a la Autoridad de Registro del PSCA y solicitar la desvinculación del certificado. El PSCA deberá validar la identidad de la persona física de igual forma que para la solicitud de emisión (punto 3.1.2), y verificar que efectivamente es la persona física referente del certificado. Una vez realizada esta validación, el PSCA realizará la desvinculación, y notificará a la persona jurídica suscritptora de este hecho de forma urgente. A partir de este momento, las responsabilidades del antiguo referente para con el certificado de persona jurídica cesan completamente. Si la Persona Jurídica suscriptora no presentase un nuevo referente en los próximos 15 días hábiles, el PSCA deberá proceder a la revocación del certificado en forma automática, volviendo a notificar al PSCA de este hecho Identificación y autenticación para solicitudes de vinculación de referente La persona física que lleva adelante la solicitud del certificado de persona jurídica queda registrada como referente del mismo en forma automática. Sin embargo, en la eventualidad que este se desvincule del mismo, de acuerdo con lo estipulado en el punto 3.1.4, la persona jurídica deberá presentar un nuevo referente en un plazo no mayor a 15 días hábiles, o de lo contrario su certificado deberá ser revocado.

34 CP de Persona Jurídica 33 De la misma manera, la Persona Jurídica suscriptora puede solicitar un cambio de referente. Al completar el procedimiento de vinculación del nuevo referente, como se describe a continuación, el anterior referente queda automáticamente desvinculado del certificado. En cualquiera de los dos casos, para presentar un nuevo referente, se debe realizar el mismo proceso que para la solicitud original de acuerdo al punto 3.1; solamente el registro, no la generación de claves ni emisión del certificado, puesto que se está utilizando el mismo Identificación y autenticación para solicitudes de revocación Las personas jurídicas que cuenten con un certificado emitido por un PSCA podrán solicitar la revocación del mismo. La revocación de un certificado es un proceso por el cual se termina prematuramente su período de validez, y se realiza cuando se detecta un mal uso del certificado o se sospecha de compromiso de su clave privada asociada, entre otros. Las causales de revocación se detallan en el punto Para la solicitud presencial, la persona deberá presentarse ante la Autoridad de Registro del PSCA presentando la misma documentación que para el registro inicial (ver 3.1.2); debe estar apoderada para solicitar revocación en lugar de emisión. En el caso de certificados de persona jurídica, dicha solicitud puede entonces ser realizada por cualquier persona física que figure como representante legal en el certificado notarial presentado o esté debidamente apoderada para realizar esta solicitud. La revocación deberá realizarse en forma inmediata una vez comprobada la autenticidad de la solicitud. Una vez validada la identidad de la Persona solicitante, así como su autorización para revocar y procesada la solicitud, el PSCA cuenta con un plazo máximo de 2 horas para emitir y publicar una nueva CRL que contenga dicho certificado, y para actualizar sus servicios OCSP, si es que dispone de ellos.